RGPD Art. 9 para clínicas: guía técnica 2026.

Si tu clínica trata datos sanitarios (es decir: si tienes pacientes), estás obligada a cumplir el régimen reforzado del Artículo 9 del RGPD. Esta guía traduce la norma a acciones técnicas concretas que tu asesor legal puede validar y tu equipo puede ejecutar.

Brais Cora · Fundador

El Operador™ · Madrid · Asunción

La mayoría de clínicas dentales, estéticas, médicas y veterinarias en España operan en una zona gris peligrosa: cumplen el RGPD básico, pero ignoran que sus datos están protegidos por un régimen más estricto. El motivo es simple: el RGPD genérico habla de "datos personales", y la mayoría de gestores cree que con eso basta. No basta.

Cuando un paciente entra a tu clínica y rellena un formulario sobre su salud, está entregando datos de categoría especial bajo el Artículo 9 del RGPD. Esa categoría tiene reglas distintas, multas más altas, y obligaciones técnicas adicionales que muy pocas clínicas conocen. Cumplirlas no es opcional. La AEPD lleva años inspeccionando el sector y multando con cifras de seis y siete dígitos.

Esta guía recorre, en lenguaje operativo, qué dice el Art. 9, qué te obliga, qué medidas técnicas son exigibles, y cómo cumplir sin que el cumplimiento paralice tu negocio.

Qué dice exactamente el Art. 9 del RGPD.

El Artículo 9 del Reglamento (UE) 2016/679 establece una categoría especial de datos personales cuyo tratamiento está, por defecto, prohibido. Solo se permite si concurre alguna de las 10 excepciones del Art. 9.2 (consentimiento explícito, asistencia sanitaria, salud pública, etc.).

La categoría especial incluye:

• Origen racial o étnico.
• Opiniones políticas.
• Convicciones religiosas o filosóficas.
• Afiliación sindical.
• Datos genéticos.
• Datos biométricos dirigidos a identificar a una persona.
• Datos relativos a la salud (este es el que aplica a tu clínica).
• Datos relativos a la vida sexual u orientación sexual.

"Datos relativos a la salud" incluye literalmente cualquier información que revele el estado físico o mental, pasado, presente o futuro del paciente. Una ficha dental con caries previas es Art. 9. Una imagen antes/después en un centro estético es Art. 9. Un email de un paciente preguntando si tu clínica trata bruxismo es Art. 9 desde el momento en que asocias ese email a un nombre.

La base legal: sin esto, todo lo demás da igual.

Para tratar datos del Art. 9 necesitas una base legal específica del Art. 9.2. No basta con la base general del Art. 6 (consentimiento, contrato, interés legítimo). Las bases legales relevantes para clínicas son:

1. Art. 9.2.a — Consentimiento explícito. El paciente firma un consentimiento específico, informado y separado del consentimiento general. La firma debe ser una acción afirmativa clara (no silencio, no casillas pre-marcadas).
2. Art. 9.2.h — Asistencia sanitaria. Cuando el tratamiento es necesario para diagnóstico médico, prestación de asistencia, gestión sanitaria. Esta es la base habitual para datos clínicos propiamente dichos.
3. Art. 9.2.i — Interés público en salud. Solo aplica en contextos de salud pública (epidemias, vigilancia sanitaria).

El error más frecuente en clínicas privadas es confundir el consentimiento general del RGPD con el específico del Art. 9. Son dos consentimientos distintos. Si solo tienes uno, estás expuesto.

Las 6 medidas técnicas mínimas exigibles.

El Art. 32 del RGPD obliga a aplicar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo. Para datos del Art. 9, el riesgo siempre es alto, por lo que las medidas mínimas son:

1 · Cifrado en reposo y en tránsito

Todos los datos deben estar cifrados con AES-256 en reposo (almacenamiento) y TLS 1.3 en tránsito (comunicaciones). Esto aplica a tu base de datos, a tus copias de seguridad, a los emails que contengan datos de pacientes, a la transmisión entre tu CRM y tu software dental. Si algún punto del flujo está sin cifrar, estás incumpliendo.

2 · Control de acceso doble factor

Cualquier persona con acceso a datos de pacientes debe autenticarse con doble factor (contraseña + código de móvil o token físico). Esto incluye: tú, recepcionistas, doctores, asistentes, proveedores externos, contables. Acceso compartido o sin 2FA es una infracción documentada.

3 · Pseudonimización cuando sea posible

Separar el identificador del paciente (nombre, DNI) del dato sensible cuando operativamente se pueda. Para análisis estadísticos, formación de IA o estudios internos, los datos deben anonimizarse o pseudonimizarse. El paciente "Ana López, 34 años, caries en muela 17" no debería viajar como tal por tu sistema más allá de donde estrictamente sea necesario.

4 · Registro de actividades de tratamiento

Documento escrito, actualizado, donde figura: qué datos tratas, con qué finalidad, sobre qué base legal, cuánto tiempo los conservas, con quién los compartes, qué medidas de seguridad aplicas. Es obligatorio para cualquier entidad con más de 250 empleados, y de facto exigible a clínicas porque tratan Art. 9 sistemáticamente.

5 · Plan de continuidad y backups

Política 3-2-1 mínima: tres copias de los datos, en dos soportes distintos, una de ellas fuera del sitio principal. Backups cifrados, restaurables, verificados con pruebas trimestrales. Si tienes los datos en un único servidor y se rompe, no es solo un problema operativo: es una infracción del Art. 32 RGPD por falta de medidas de continuidad.

6 · Notificación de brechas en 72h

Procedimiento documentado para detectar, valorar y notificar brechas de seguridad. Si hay una brecha que pueda suponer riesgo para los derechos del paciente, debes notificar a la AEPD en menos de 72 horas (Art. 33) y a los pacientes afectados sin dilación cuando el riesgo sea alto (Art. 34). La ausencia de este procedimiento se sanciona aunque no haya habido brecha.

DPA con todos tus proveedores: lo que nunca puedes saltarte.

Cada vez que un proveedor externo procesa datos de tus pacientes por cuenta tuya, ese proveedor es un Encargado del Tratamiento y debe firmar contigo un Data Processing Agreement (DPA) con las cláusulas del Art. 28 RGPD. Sin DPA, ese flujo es ilegal.

Los proveedores que casi seguro estás usando y que necesitan DPA:

• Software de gestión dental/clínica (Gesden, Klinic Cloud, Doctolib, Dentaltix, etc.).
• CRM de marketing/ventas (HubSpot, Salesforce, GoHighLevel, Mailchimp, Brevo).
• Plataforma de mensajería (WhatsApp Business API a través de Meta o un BSP intermedio).
• Pasarela de pago (Stripe, Redsys, PayPal).
• Proveedor de hosting (AWS, Hetzner, OVH, Google Cloud, tu agencia web).
• Copia de seguridad (Dropbox Business, Google Workspace, Backblaze).
• IA conversacional o chatbot (OpenAI, Anthropic, ElevenLabs si los usas).
• Email marketing (Mailchimp, ActiveCampaign, Sendgrid).
• Analítica web que recoja datos identificables (Google Analytics si no está configurado anonimizado).

Cada uno debe firmar un DPA específico. Los términos de servicio genéricos del proveedor no son DPA. La AEPD ha multado por usar herramientas sin DPA firmado, aunque el servicio en sí cumpliera técnicamente.

Multas reales: qué ha pasado en España.

La AEPD publica todas sus resoluciones. Algunos ejemplos reales del sector sanitario en los últimos años:

• Clínica privada · 200.000 € · por brecha de seguridad que expuso historiales clínicos por configuración incorrecta del servidor.
• Centro estético · 30.000 € · por compartir imágenes antes/después de pacientes en redes sociales sin consentimiento específico Art. 9.
• Hospital privado · 1.500.000 € · por falta de medidas técnicas adecuadas + ausencia de DPA con proveedores tecnológicos.
• Clínica dental · 10.000 € · por enviar emails de marketing con descuentos a pacientes sin opt-in específico.
• Centro médico privado · 100.000 € · por no notificar una brecha en plazo (72h Art. 33).

El patrón es claro: las multas no son aleatorias. Aparecen cuando hay denuncia (de pacientes, ex-empleados o competidores) o cuando hay inspección por brecha pública. La probabilidad de que te toque sube cuanto más visible eres y cuanto más datos manejas.

La regla del asesor legal: en 24h o no firma.

Si tu cliente B2B (operador, agencia, proveedor) te pide DPA, lista de subprocesadores y descripción técnica de infraestructura, debes entregarlo en menos de 24 horas con papel firmado. Si tu proveedor de IA/marketing/CRM no puede entregártelo en ese plazo, cámbialo. La velocidad de respuesta legal es señal directa de madurez técnica.

El paquete mínimo que un asesor legal espera ver:

1. Contrato DPA firmado por abogado especialista en protección de datos.
2. Lista pública (o bajo NDA) de subprocesadores con país y servicio prestado.
3. Documento de medidas técnicas y organizativas (Art. 32 RGPD).
4. Política de gestión de brechas con tiempos de notificación.
5. Certificado de seguro de responsabilidad civil profesional activo.
6. (Recomendable) Certificación o auditoría externa reciente.

Si tu firma o tu proveedor tecnológico tiene esto preparado, eres atractivo para B2B serio. Si no lo tiene, te quedas en la puerta de cualquier cliente con compliance interna.

Preguntas frecuentes